Симптомы

Не работает прозрачная авторизация Kerberos (не открывается Captive-портал, Logout) из другой зоны или подсети.

Решение

Явный прокси:

Необходимо создать правило DNAT из другой подсети, в которой указать в качестве адреса назначения IP, в который резолвится А-запись auth.domain.local, выбрать сервис 8090\TCP, а во вкладке DNAT указать IP интерфейса из зоны подсети источника.
При этом на зоне источника необходимо включить сервисы captive-портала и HTTP(S)-прокси, в правиле captive-портала задействовать зону источника (если она другая). На клиентах прописать явный прокси в виде FQDN.

В случае, если в общих настройках используется нестандартный порт прокси, например 3128, необходимо сделать правило Порт-форвардинга, в котором указать оригинальный порт назначения 3128, а новый порт назначения 8090, остальные параметры согласно тексту выше.

Прозрачный прокси:

Необходимо создать правило DNAT из другой подсети, в которой указать в качестве адреса назначения IP сервера DNS (он же DC, который прописан на клиентах), выбрать сервис DNS 53\UDP, а во вкладке DNAT указать IP интерфейса UG из зоны подсети источника. На UG в разделе Сеть - DNS прописать правило DNS-прокси для запросов вида *.domain.local к серверам DC.
При этом на зоне источника необходимо включить сервисы captive-портала и HTTP(S)-прокси, DNS, в правиле captive-портала задействовать зону источника (если она другая).

Правила DNAT нужны для всех зон за интерфейсами, за которыми имеются клиенты, каждое правило должно разрешать в свой адрес. Для этого зоны должны быть разными.

Причина

Начиная с версии 6.1.9, в связи с изменениями в алгоритмы обработки VRF, прозрачная авторизация работает только через тот интерфейс, IP адрес которого является результатом резолва домена auth.